Поредна кражба на данните на милиони след атака към дупката в MOVEit Transfer
Засегнатите от офанзивите към CVE-2023-34362, сериозната накърнимост в софтуера за трансфер на информация MOVEit Transfer, се усилват.
По последни данни знаем, че офанзивите са компрометирали над 20 000 000 персонални записа, измежду засегнатите компании и организации участват огромни компании, като счетовдните колоси Ernst and Young, Deloitte и PricewaterhouseCoopers, мрежата на английския медиен конгломерат Би Би Си, американски федерални и държавни организации и министерства и организации от друг мащаб в Северна Америка и Европа. А в този момент разбираме, че към достигнатите 20 милиона персонални записи се прибавят още десетина милиона, за което оповестяват The Register.
Кражбата на данни е осъществена след сполучлива офанзива към MOVEit Transfer, употребен от американската компания Maximus. Организацията работи като админ на услуги за американското държавно управление и ръководи данни по медицински стратегии, като Medicaid и Medicare, добавя английското издание.
В диалог с The Register от Maximus декларират, че са работили бързо и са наложили актуализацията за уязвимостта в MOVEit Transfer, като не престават да проверяват случилото си. Компанията чака оправянето със обстановката да им коства до $15 000 000. При обзор на това, което е достигнато в хода на офанзивата е открито, че хакерите са получили достъп до персонална информация на 8 до 11 милиона индивида, като измежду данните са цялостни имена на засегнатите, номерата на обществените им осигуровки, здравни данни и друга персонална информация. Компанията е алармирала управляващите за случая. Съществуват обаче незнайни, както в този съответен случай, по този начин и в другите, които към този момент са стотици.
В края на май, Progress Software, компанията зад MOVEit Transfer, разгласява детайлности за CVE-2023-34362, сериозна накърнимост в софтуера, позволяваща повишение на привилегиите на атакуващата страна и кражбата на данни. Това, което Progress не загатват в формалния си бюлетин, излязъл във връзка на кръпката е, че CVE-2023-34362 е била експлоатирана преди 29-ти май, когато излиза кръпката. Правят го Mandiant, които записват първите сходни офанзиви на 27-ми. В началото на юни, рансъмуер групата зад Cl0p поемат отговорност за офанзивите. На уеб страницата си те дават указания на потърпевшите по какъв начин да се свържат с тях, в случай че желаят данните им да бъдат декриптирани и откраднатата информация да не бъде оповестена обществено. За последно разбрахме, че Cl0p почнали да разгласяват откраднатото от фирмите, които не са платили откуп. За разлика от общоприетата процедура тук обаче, Cl0p не употребяват мрежата на Tor, а уеб сайтове в общодостъпния Интернет. Вероятно това служи да окаже още по-голям напън на засегнатите и да ги принуди да платят желаната от хакерите сума. Неизвестно остава по кое време Cl0p стартират офанзивите си и дали актуалните репортажи не се отнасят до произшествия, случили се преди седмици.
